90 % des entreprises françaises ont subi des pertes de données au cours de l’année écoulée ; 88 % d’entre eux ont constaté des conséquences négatives, notamment des pertes de revenus et des atteintes à la réputation.

PARIS, France, le 19 mars 2024 — Proofpoint, Inc., l’une des sociétés leader dans les domaines de la cybersécurité et de la conformité, publie aujourd’hui son tout premier rapport Data Loss Landscape, qui explore comment les approches actuelles de prévention contre la perte de données (DLP) et de menaces internes sont mises en difficulté face aux défis macro-économiques tels que la prolifération des données, la sophistication de la cybercriminalité ou encore l’Intelligence Artificielle générative (GenAI). Le rapport révèle ainsi que la perte de données découle principalement de l’interaction entre les individus et les systèmes, et l’impact des « utilisateurs imprudents », plus susceptibles de provoquer des incidents que des systèmes compromis ou mal configurés.

Si les entreprises investissent dans des solutions DLP (36 % des organisations françaises interrogées ont un programme mature de DLP en place), ces dernières demeurent insuffisantes au regard des résultats de l’étude. En effet, 90 % d’entre elles ont subi des pertes de données au cours de l’année écoulée et pour 88 %, ces pertes ont entraîné des conséquences négatives, comme une interruption de l’activité de l’entreprise, des pertes de revenus (pour 65 % des organisations) ou encore des atteintes à la réputation de l’organisation (37 %). 

« Cette étude met en lumière l’aspect le plus critique en matière de perte de données : les individus », a déclaré Ryan Kalember, directeur de la stratégie chez Proofpoint. « Les utilisateurs imprudents, compromis et malveillants sont et continueront d’être responsables de la plupart des incidents alors que des outils d’IA générative effectuent aujourd’hui les tâches courantes et accèdent aux données les plus confidentielles. Les entreprises doivent repenser leurs stratégies DLP pour s’attaquer à la cause sous-jacente de la perte de données — les utilisateurs — pour être en mesure de détecter, enquêter et répondre aux menaces sur tous les canaux utilisés par leurs employés que sont le cloud, les terminaux, les courriels et le web. »

Le rapport Data Loss Landscape 2024 examine les perceptions de 600 professionnels de la sécurité au sein d’entreprises de 1 000 employés ou plus, dans 17 secteurs d’activité et 12 pays différents. Les informations recueillies via plusieurs enquêtes menées par des organismes tiers ont été complétées par des données provenant de la plateforme de protection de l’information de Proofpoint et Tessian, acquise par Proofpoint en octobre dernier, afin de rendre compte de l’ampleur des pertes de données et des menaces internes auxquelles les entreprises sont confrontées.  

Les principales conclusions du rapport Data Loss Landscape 2024 pour la France sont les suivantes :  

• La perte de données est une problématique répandue pourtant évitable : les entreprises françaises ont enregistré plus d’un incident par mois (pour une moyenne de 14 incidents par an) et pour 65 % des personnes interrogées, ces incidents sont dus à l’imprudence des utilisateurs. Des imprudences liées notamment à l’envoi de courriels erronés, l’ouverture de sites d’hameçonnage, l’installation de logiciels non autorisés et l’envoi de données sensibles par courriel à un compte personnel. Des négligences qui pourraient pourtant être évitées en adoptant des pratiques préventives pour protéger les courriels, les téléchargements via le Web, la cloud synchronisation des fichiers et tout autre vecteur courant d’exfiltration de données.
• Les courriels mal-acheminés sont l’une des causes les plus communes et importantes : près d’un tiers des employés ont envoyé un ou plusieurs courriels au mauvais dentinaires selon les données de Tessian. À l’échelle d’une entreprise de 5 000, cela signifie que 3 400 courriels erronés sont envoyés chaque année. Si un de ces courriels contient des données sur les employés, les clients ou les patients, il peut entraîner une amende conséquente en vertu du RGPD et cadres réglementaires équivalents.
• L’IA générative est une menace croissante : les outils tels que ChatGPT, Grammarly, Bing Chat et Google Gemini gagnent en puissance et les utilisateurs n’hésitent pas à saisir des données sensibles dans ces applications. La « navigation sur les sites de GenAI » est ainsi devenue l’une des principales règles d’alerte de DLP et de menaces internes configurées par les organisations utilisant la plateforme de protection des informations de Proofpoint.
• Les conséquences coûteuses des actions malveillantes : 21 % des personnes interrogées ont déclaré que des individus malveillants, employés ou sous-traitants, étaient à l’origine d’incidents causant des pertes de données. Motivés par un gain financier potentiel, ces actions malveillantes et le départ d’employés cherchant à nuire à l’organisation peuvent avoir des conséquences bien plus importantes que de simples négligences.
• Les employés sur le départ sont les utilisateurs les plus porteurs de risque (48 %) : dans de nombreux cas, les employés quittent leur poste avec les informations et données qu’ils ont été amenés à traiter — la plupart du temps sans avoir conscience du risque que cela encourt. Le rapport montre que dans 87 % des cas d’exfiltration anormale de fichiers, stockés sur le cloud depuis au moins neuf mois, ont été causés par le départ d’un employé. Un nombre qui souligne la nécessité de mettre en place une stratégie préventive et notamment d’examiner l’ensemble du processus de sortie d’un collaborateur.
• Les utilisateurs privilégiés endossent aussi la majorité du risque : près de la moitié (48 %) des Français interrogés ont identifié les employés ayant accès à des données sensibles, notamment dans les départements RH et finance, comme le plus grand risque face aux pertes de données. Le rapport montre également que seulement 1 % des utilisateurs est responsable de 88 % des incidents de ce type. Pour y pallier, les organisations doivent mettre en place une classification efficace des données afin d’identifier et de protéger les données les plus critiques de l’entreprise et de superviser les personnes y ayant accès ou ayant des privilèges d’administrateur.
• Les programmes de prévention arrivent à maturité : pour plus de la moitié (52 %) des participants, ces programmes sont mis en place principalement en réponse aux normes et réglementations légales en vigueur. La protection de la propriété intellectuelle arrive en deuxième position (50 %), suivie de la protection de la vie privée des employés et des clients (42 %).

« L’émergence rapide de nouveaux canaux de communication et de transmission de l’information entraine des changements dans le comportement des utilisateurs, d’où l’importance de remettre régulièrement en question les programmes de DLP existants », a déclaré Loïc Guézo, Directeur Senior en Stratégie Cybersécurité chez Proofpoint. « Des stratégies de prévention comme la mise en œuvre de plateformes DLP spécialement conçues peuvent contribuer à faire progresser les programmes de sécurité en permettant aux équipes dédiées d’obtenir une visibilité complète sur les utilisateurs, les données et les incidents ainsi que de traiter l’ensemble des scénarios de perte de données liés aux individus. Les collaborateurs sont une variable essentielle de la sécurité des données, c’est pourquoi ils doivent être au centre des programmes de prévention. »

Pour télécharger le rapport Data Loss Landscape 2024 complet, rendez-vous sur : https://www.proofpoint.com/fr/resources/threat-reports/data-loss-landscape

### 

À propos de Proofpoint, Inc.   

Proofpoint, inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris 85 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.     

Connectez-vous avec Proofpoint : X | LinkedIn (en anglais seulement) | Facebook (en anglais seulement) | Youtube  

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce contenues dans le présent document sont la propriété de leurs propriétaires respectifs.